La formation RGPD est l’un des leviers les plus sous-estimés de la conformité. L’Art. 39(1)(b) RGPD charge explicitement le DPO de sensibiliser et former le personnel participant aux opérations de traitement. Pourtant, selon le baromètre AFCDP 2025, 42 % des organisations n’ont toujours pas mis en place de programme de formation structuré. Ce guide clarifie les obligations légales, propose un programme type et détaille les approches par métier.
Points Clés
- L’Art. 39(1)(b) RGPD impose au DPO une mission de sensibilisation et de formation du personnel participant aux traitements de données.
- La formation RGPD n’est pas une obligation ponctuelle mais un processus continu : la CNIL attend une sensibilisation régulière, au minimum annuelle.
- Le programme doit être adapté par métier : les équipes RH, marketing, IT et direction n’ont pas les mêmes besoins ni les mêmes risques.
- L’absence de formation documentée affaiblit le dossier d’accountability (Art. 5(2)) et constitue un facteur aggravant en cas de contrôle.
Le cadre juridique de la formation RGPD
Art. 39(1)(b) : la mission du DPO
L’Art. 39(1)(b) RGPD attribue au DPO la mission de « contrôler le respect du présent règlement […] y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ». Cette formulation fait de la formation une composante explicite du rôle du DPO.
Obligation légale ou recommandation ?
Le RGPD ne contient pas de disposition imposant directement une formation obligatoire pour tous les salariés. Cependant, plusieurs éléments convergent pour en faire une obligation de fait :
L’Art. 32(4) RGPD impose que toute personne agissant sous l’autorité du responsable de traitement et ayant accès à des données personnelles ne les traite que sur instruction de celui-ci. Cette disposition présuppose que le personnel comprend ces instructions.
L’Art. 5(2) RGPD (accountability) exige du responsable de traitement qu’il puisse démontrer sa conformité. La documentation de formations dispensées constitue un élément central de cette démonstration.
Le considérant 47 du RGPD précise que les attentes raisonnables des personnes concernées doivent être prises en compte, ce qui implique que le personnel manipulant des données soit formé à les traiter correctement.
La CNIL a explicitement inclus la formation parmi les mesures de conformité attendues dans ses guides pratiques et lors de ses contrôles.
Programme type de formation RGPD
Sensibilisation générale (tous les collaborateurs)
Durée : 1 à 2 heures, annuelle.
Contenu :
- Les principes fondamentaux du RGPD (les 7 principes de l’Art. 5)
- La définition de donnée personnelle avec des exemples concrets
- Les droits des personnes concernées et comment orienter une demande
- Les règles de base : pas de transfert de données par email non sécurisé, signalement immédiat des incidents
- Les conséquences en cas de non-respect : sanctions pour l’organisation et responsabilité individuelle
Format recommandé : e-learning avec quiz de validation, complété par une communication interne régulière (newsletters, affiches).
Formation approfondie par métier
Équipes RH (3-4 heures) : gestion des données candidats et salariés, durées de conservation des dossiers du personnel, droit d’accès des salariés, transfert de données en cas de mobilité internationale, sous-traitants RH (paie, recrutement).
Équipes marketing et commerciales (3-4 heures) : bases légales pour la prospection (consentement vs intérêt légitime), règles e-mailing (opt-in LCEN), cookies et traceurs, profilage et Art. 22 RGPD, gestion des listes de prospects.
Équipes IT et développement (4-6 heures) : privacy by design (Art. 25), sécurité des données (Art. 32), gestion des accès, journalisation, notification des violations (Art. 33), sous-traitance cloud, transferts internationaux.
Direction et management (2-3 heures) : responsabilité du responsable de traitement, sanctions et risques financiers, gouvernance des données, rôle et indépendance du DPO.
Formation du DPO
Le DPO lui-même doit maintenir ses compétences à jour. L’Art. 38(2) RGPD impose au responsable de traitement de fournir au DPO les ressources nécessaires pour maintenir ses connaissances spécialisées. Cela inclut :
- Formation juridique continue (évolutions réglementaires, jurisprudence)
- Formation technique (sécurité informatique, IA, cloud)
- Participation à des conférences et réseaux professionnels (AFCDP, IAPP)
- Budget annuel recommandé : 2 000 à 5 000 euros
Fréquence et documentation
Rythme recommandé
La CNIL ne fixe pas de fréquence minimale réglementaire, mais les bonnes pratiques s’articulent ainsi :
- Sensibilisation générale : à l’embauche + rappel annuel
- Formation métier : à la prise de poste + actualisation tous les 2 ans
- Formation DPO : continue, avec au minimum une formation annuelle substantielle
- Mise à jour ponctuelle : lors de changements réglementaires majeurs ou d’incidents internes
Documentation pour l’accountability
L’Art. 5(2) RGPD impose de pouvoir démontrer la conformité. Pour les formations, cela implique de conserver :
- Le plan de formation annuel validé
- Les supports de formation utilisés
- Les feuilles de présence ou attestations de suivi e-learning
- Les résultats des quiz de validation
- Le bilan annuel des actions de formation
Cette documentation constitue un élément clé du dossier d’accountability et sera demandée en cas de contrôle CNIL.
Sensibilisation vs formation approfondie
Il est essentiel de distinguer deux niveaux d’intervention :
La sensibilisation vise l’ensemble du personnel. Elle crée une culture de protection des données et permet à chaque collaborateur de reconnaître les situations à risque. Elle ne requiert pas d’expertise juridique poussée.
La formation approfondie cible les collaborateurs dont les fonctions impliquent un traitement significatif de données personnelles. Elle doit être adaptée au contexte métier et donner des compétences opérationnelles : savoir remplir une fiche de traitement dans le registre, répondre à une demande de droits, évaluer la nécessité d’une AIPD, identifier un incident de sécurité nécessitant une notification.
La clé d’un programme de formation RGPD réussi est la personnalisation par métier. Un module générique sur les principes RGPD est nécessaire mais insuffisant. Les équipes doivent comprendre comment ces principes s’appliquent à leurs activités quotidiennes, avec des cas pratiques tirés de leur contexte réel.
Legiscope facilite cette approche en identifiant automatiquement les traitements par service et en générant des supports de sensibilisation adaptés. Découvrez comment Legiscope accompagne la formation RGPD.
Sanctions liées au défaut de formation
L’absence de formation n’est jamais sanctionnée de manière isolée par la CNIL. En revanche, elle constitue systématiquement un facteur aggravant dans les décisions de sanction. Lorsqu’un incident se produit et que l’organisation ne peut démontrer aucune action de sensibilisation, la CNIL retient ce manquement comme preuve d’un défaut d’accountability.
La CNIL a sanctionné la société Dedalus Biologie de 1,5 million d’euros (Délibération n°SAN-2022-009, 15 avril 2022) après une fuite massive de données de santé. Parmi les manquements relevés : l’absence de sensibilisation du personnel aux règles de sécurité et de protection des données. De même, dans l’affaire Doctissimo (Délibération n°SAN-2023-006, 800 000 euros), la CNIL a relevé que les équipes n’avaient pas été suffisamment formées aux règles de conservation des données.
À l’inverse, une formation documentée et régulière joue en faveur de l’organisation. L’Art. 83(2)(d) RGPD mentionne les mesures prises pour atténuer le dommage parmi les critères de détermination du montant de l’amende. Un programme de formation RGPD structuré démontre la diligence de l’organisation.
FAQ
La formation RGPD est-elle obligatoire pour tous les salariés ?
Le RGPD n’impose pas explicitement une formation à tous les salariés. Cependant, l’Art. 39(1)(b) charge le DPO de former le personnel « participant aux opérations de traitement », et l’Art. 5(2) (accountability) exige de pouvoir démontrer les mesures prises. En pratique, la CNIL attend au minimum une sensibilisation générale de l’ensemble du personnel et une formation ciblée des collaborateurs manipulant des données personnelles.
Quelle est la durée minimale d’une formation RGPD ?
Aucune durée minimale n’est fixée par le RGPD. L’essentiel est l’efficacité et l’adaptation au public. Une sensibilisation générale de 1 à 2 heures avec quiz de validation est un minimum réaliste. Les formations métier approfondies nécessitent 3 à 6 heures selon la complexité des traitements concernés.
Qui doit dispenser la formation RGPD ?
La formation peut être dispensée par le DPO interne, un DPO externalisé, un organisme de formation spécialisé ou via une plateforme e-learning. L’important est que le formateur dispose de l’expertise juridique et pratique nécessaire, et que la formation soit documentée. La CNIL ne prescrit pas de format particulier mais vérifie l’existence et la régularité des actions de formation lors de ses contrôles.
La formation RGPD protège-t-elle l’entreprise en cas de sanction ?
La formation constitue un facteur atténuant reconnu par les autorités de protection des données. L’Art. 83(2)(d) RGPD mentionne explicitement les « mesures prises par le responsable du traitement […] pour atténuer le dommage » parmi les critères de détermination de l’amende. Une organisation qui démontre un programme de formation structuré et régulier sera mieux traitée qu’une organisation qui n’a pris aucune mesure de sensibilisation.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial